HCIA-網(wǎng)絡(luò)安全基礎(chǔ)PPT-06防火墻雙機熱備技術(shù)

防火墻雙機熱備技術(shù)前言l

隨著移動辦公

、網(wǎng)上購物

、即時通訊

、互聯(lián)網(wǎng)金融和互聯(lián)網(wǎng)教育等業(yè)務(wù)蓬勃發(fā)展，網(wǎng)絡(luò)承載的業(yè)

務(wù)越來越多

，越來越重要

。所以如何保證網(wǎng)絡(luò)的不間斷傳輸成為網(wǎng)絡(luò)發(fā)展過程中急需解決的一個

問題。l

雙機熱備份技術(shù)的出現(xiàn)改變了可靠性難以保證的尷尬局面

，它通過在網(wǎng)絡(luò)出口位置部署兩臺防火

墻

，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通訊可靠性。目標l

學(xué)完本課程后，您將能夠:

掌握雙機熱備技術(shù)原理

掌握雙機熱備基礎(chǔ)配置目錄1.雙機熱備技術(shù)原理n

VRRP備份。VGMP管理組。

HRP冗余備份功能。防火墻雙機熱備2.雙機熱備基本組網(wǎng)與配置雙機熱備技術(shù)產(chǎn)生的背景傳統(tǒng)的組網(wǎng)方式如下左圖所示

，內(nèi)部用戶和外部用戶的交互報文全部通過防火墻A。如果防火墻A出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中所有以防火墻A作為默認網(wǎng)關(guān)的主機與外部網(wǎng)絡(luò)之間的通訊將中斷，通訊可靠性無法保證。l

防火墻作為安全設(shè)備，一般會部署在需要保護的網(wǎng)絡(luò)和不受保護的網(wǎng)絡(luò)之間

，即位于網(wǎng)絡(luò)邊界上

。在網(wǎng)絡(luò)邊

界上

，如果僅僅使用一臺防火墻設(shè)備，無論其可靠性多高

，系統(tǒng)都可能會承受因為單點故障而導(dǎo)致網(wǎng)絡(luò)中斷

的風(fēng)險

。為了防止一臺設(shè)備出現(xiàn)意外故障而導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷，可以采用兩臺防火墻形成雙機備份。l基于VRRP的路由器冗余部署方案VRRP（

VirtualRouterRedundancyProtocol）是一種容錯協(xié)議

，它保證當主機的下一跳路由器（默認網(wǎng)關(guān)）出現(xiàn)故障時

，由備份路由器自動代替出現(xiàn)故障的路由器完成報文轉(zhuǎn)發(fā)任務(wù)

，從而保持網(wǎng)絡(luò)通信的連續(xù)性和可

靠性

。同一VRRP備份組內(nèi)的路由器有兩種角色：Master設(shè)備（活動狀態(tài)）

、Backup設(shè)備（備份狀態(tài)）。

Router

A

Master

Router

B

BackupVRRP備份組交換機

內(nèi)部網(wǎng)絡(luò)l

主設(shè)備Router

A正常時： Router

A作為VRRP備份組的Master設(shè)備，負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)流量。l

主設(shè)備Router

A故障時： Router

B感知到VRRP心跳超時，從而被選舉為新的主設(shè)備； Router

B發(fā)送免費ARP

，交換機收到后刷新MAC地址表； Router

B響應(yīng)用戶的ARP請求，并負責(zé)流量轉(zhuǎn)發(fā)。lVRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用為防火墻上多個區(qū)域提供雙機備份功能時，需要在每一臺防火墻上配置多個VRRP備份組。

Untrust

備份組3

VirtualIPAddress

202.38.10.1

防火墻B

Backup

備份組2

VirtualIPAddress

10.100.20.1

Trust

/24

/24備份組1VirtualIPAddress防火墻AMasterDMZlVRRP在防火墻應(yīng)用中存在的缺陷傳統(tǒng)VRRP方式無法實現(xiàn)主、備用防火墻狀態(tài)信息和多組VRRP狀態(tài)的一致性。l

當防火墻A和防火墻B的VRRP狀態(tài)一致：

Trust區(qū)域的PC1訪問Untrust區(qū)域的PC2，報文來回路徑一

致，防火墻A狀態(tài)檢測機制檢測通過，通信正常。l

當防火墻A和防火墻B的VRRP狀態(tài)不一致：

防火墻A上游鏈路發(fā)生故障，防火墻B成為備份組3新的

Master；

Trust區(qū)域的PC1訪問Untrust區(qū)域的PC2，報文來回路徑不

一致，防火墻B狀態(tài)檢測機制檢測不通過，報文丟失。l目錄1.雙機熱備技術(shù)原理?

VRRP備份n

VGMP管理組?

HRP冗余備份功能?

防火墻雙機熱備2.雙機熱備基本組網(wǎng)與配置VGMP基本原理

(1)l

為了保證所有VRRP備份組切換的一致性

，在VRRP的基礎(chǔ)

上進行了擴展

，推出了VGMP（

VRRP組管理協(xié)議）來彌補

此局限

。將同一臺防火墻上的多個VRRP備份組都加入到一

個VGMP管理組，

由管理組統(tǒng)一管理所有VRRP備份組的狀

態(tài)

，來保證管理組內(nèi)的所有VRRP備份組狀態(tài)都是一致的。

防火墻VGMP組狀態(tài)分為三類：Load-balance

、Active

、

Standby；

防火墻VGMP組通過發(fā)送VGMP報文通告自身運行狀態(tài)，從而根據(jù)Hello優(yōu)先級決定主備設(shè)備，主設(shè)備VGMP組的狀態(tài)為Active，備設(shè)備VGMP組的狀態(tài)為Standby；

當防火墻上的VGMP組為Active/Standby狀態(tài)時，組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Active/Standby狀態(tài)。l

VGMP組選舉主從設(shè)備工作流程如圖所示。選舉VGMP主從設(shè)備配置VRRP啟用VGMP切換VRRP組狀態(tài)VGMP基本原理

(2)當故障發(fā)生時

，VGMP統(tǒng)一切換VRRP備份組1與VRRP備份組2的狀態(tài)

。當VGMP組狀態(tài)為Active時

，VRRP備份組的狀態(tài)都是Master；當VGMP組狀態(tài)為Standby時，VRRP備份組的狀態(tài)都是Backup；

Untrust

VGMP

Standby

備份組2

防火墻A

VRRP

Backup

Trust備份組1防火墻BVRRPBackup防火墻AVRRPMaster防火墻BVRRPMasterVGMP

StandbyVGMP

ActiveVGMP

Active備份組2備份組1UntrustTrustlVGMP組管理狀態(tài)一致性管理

VGMP管理組控制所有的VRRP備份組統(tǒng)一切換，VRRP備份組加入到管理組后狀態(tài)不能單獨切換。搶占管理

當原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時，其VGMP管理組優(yōu)先級也會恢復(fù)，此時可以重新將自己的VGMP管理組狀態(tài)搶

占為主；

當VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGMP管理組統(tǒng)一

決定。通道管理

所謂通道管理，就是為了確定雙機熱備的兩臺防火墻之間有哪些接口是可用的，VGMP

、HRP模塊將自動選用可用的

接口來發(fā)送VGMP

、HRP報文。lll目錄1.雙機熱備技術(shù)原理?

VRRP備份?VGMP管理組n

HRP冗余備份功能?

防火墻雙機熱備2.雙機熱備基本組網(wǎng)與配置HRP基本概念HRP（Huawei

Redundancy

Protocol）協(xié)議

，用來實現(xiàn)防火墻雙機之間狀態(tài)信息和關(guān)鍵配置命令的動態(tài)備份。備份方向支持備份的配置命令默認只能在配置主設(shè)備上執(zhí)行，這些命令會自動備份到備設(shè)備上。例如，安全策略配置命令、NAT策略配置命令等；主備備份組網(wǎng)中，只有主設(shè)備會處理業(yè)務(wù)，主設(shè)備上生成業(yè)務(wù)表項，并向備設(shè)備備份。負載分擔(dān)組網(wǎng)中，兩臺防火墻都會處理業(yè)務(wù)，都會生成業(yè)務(wù)表項并向?qū)Χ嗽O(shè)備備份。備份通道

配置和狀態(tài)數(shù)據(jù)需要網(wǎng)絡(luò)管理員指定備份通道接口進行備份。一般情況下，在兩臺設(shè)備上直連的端口作為備份通道，

有時

也稱為“心跳線”（VGMP也通過該通道進行通信）。UntrustVGMP

Standby備份組2

防火墻B

VRRP

BackupTrust心跳線備份組1防火墻AVRRPMasterVGMP

Activelll配置備份與狀態(tài)信息備份l

為了讓兩臺設(shè)備故障切換時業(yè)務(wù)能平滑切換

，兩臺設(shè)備間需要備份配置和狀態(tài)信息。l

設(shè)備配置：

策略：安全策略、NAT策略、認證策略、攻擊防范和ASPF等；

對象：地址、地區(qū)、服務(wù)、應(yīng)用、用戶、認證服務(wù)器、時間段、

地址池、

URL分類、關(guān)鍵字組、郵件地址組、簽名和安全配置

文件等；

網(wǎng)絡(luò)：新建邏輯接口、安全區(qū)域、DNS、靜態(tài)路由（配置hrpauto-sync

config

static-route后才可以備份）、IPSec和SSLVPN等；

系統(tǒng)：管理員

、虛擬系統(tǒng)、

日志配置等。l

狀態(tài)信息：

會話表

、Sever-map表

、黑白名單

、地址映射

表

、MAC表

、用戶表

、IPSec安全聯(lián)盟和隧道等。l

自動備份：

缺省為開啟狀態(tài)

，能夠自動實時備份配置命令

和周期性地備份狀態(tài)信息

，適用于各種雙機熱備組網(wǎng)。l

手工批量備份：

需要管理員手工觸發(fā)，每執(zhí)行一次手工批

量備份命令

，主用設(shè)備就會立即同步一次配置命令和狀態(tài)

信息到備用設(shè)備。l

設(shè)備重啟主備防火墻的配置自動同步：

重啟成功的設(shè)備會

自動從當前承載業(yè)務(wù)的防火墻上進行一次配置同步。l

會話快速備份：會話快速備份功能

，適用于負載分擔(dān)的工

作方式

，以應(yīng)對報文來回路徑不一致的場景。備份內(nèi)容備份方式HRP心跳線雙機熱備組網(wǎng)中

，心跳線是兩臺防火墻交互消息了解對端狀態(tài)、備份配置命令和各種表項的通道。 心跳線兩端的接口通常被稱之為“心跳接口”；

心跳接口可以是一個物理接口（GE接口），或者多個物理接口捆綁成的一個邏輯接口（Eth-Trunk）。l心跳接口的狀態(tài)HRP心跳接口共有五種狀態(tài)：Invalid

、Down

、Peerdown

、Ready

、Running。心跳口心跳線HRP心跳鏈路探測報文HRP數(shù)據(jù)報文等GE1/0/1

GE1/0/2

GE1/0/3

GE1/0/4

Invalid

PeerdownGE1/0/1

防火墻GE1/0/2GE1/0/3GE1/0/4Peerdown

DownRunning

RunningReady

Ready物理接口作為心跳接口防火墻l目錄1.雙機熱備技術(shù)原理?

VRRP備份?VGMP管理組?

HRP冗余備份功能n

防火墻雙機熱備工作流程2.雙機熱備基本組網(wǎng)與配置防火墻雙機熱備主備備份應(yīng)用場景l(fā)

應(yīng)用場景

主要應(yīng)用于對可靠性要求較高場景，如企業(yè)辦公場景，為提升

網(wǎng)絡(luò)可靠性，可在企業(yè)網(wǎng)絡(luò)出口部署兩臺防火墻構(gòu)成雙機熱備

的組網(wǎng)。綜合考慮業(yè)務(wù)需求，雙機熱備采用主備模式。l

配置分析

防火墻VGMP狀態(tài)：防火墻A為主設(shè)備，VGMP狀態(tài)為Active；

防火墻B為備設(shè)備，VGMP狀態(tài)為Standby； VRRP

備份組：防火墻下游配置VRRP備份組1

，防火墻上游配

置VRRP備份組2；VRRP備份組1和2設(shè)置防火墻A為Master，VRRP備份組1和2設(shè)置防火墻B為Backup；

備份方式：默認情況下，雙機熱備采用自動備份方式；

備份接口：防火墻GE0/0/1接口為心跳口，所連接的線路為心

跳線；

搶占：默認開啟，默認搶占時延為60s。交換機C防火墻AMaster交換機AGE0/0/1GE0/0/1心跳線

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BBackupVRRP備份組1交換機B防火墻雙機熱備主備備份工作流程防火墻主備狀態(tài)：防火墻A為主設(shè)備

，VGMP狀態(tài)為Active，VRRP備份組1和2狀態(tài)為

Matser

；防火墻

B

為備設(shè)備，

VGMP狀態(tài)為Standby

，VRRP備份組1和2狀態(tài)為Backup；l

配置與狀態(tài)備份：

防火墻A的配置與狀態(tài)信息通過心跳線

實時備份到防火墻B；l

流量轉(zhuǎn)發(fā)路徑：

防火墻A向交換機A和交換機C發(fā)送免費

ARP

報文

，

刷新

交

換機

的MAC

地

址表。當主

機

A

訪問

Internet

時

，

首先通過ARP查詢網(wǎng)關(guān)MAC

地址（即查詢

VRRP

Virtual

IP

的MAC

地址

），防

火

墻

A

回應(yīng)

VRRPVirtual

MAC

，主機A向交換機A發(fā)送業(yè)務(wù)報文

，交換機A

根據(jù)MAC

表轉(zhuǎn)

發(fā)

流

量到

防

火墻A，

防火墻A再

轉(zhuǎn)發(fā)到

Internet

。返程同理。交換機C防火墻AMaster交換機A

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BBackupVRRP備份組1交換機B主機A訪問外網(wǎng)流量主機B訪問外網(wǎng)流量l防火墻雙機熱備主備切換

(1)業(yè)務(wù)口/業(yè)務(wù)線路故障

如圖所示，防火墻A的業(yè)務(wù)口/所連業(yè)務(wù)線出現(xiàn)故障時，

防火墻A的VGMP組優(yōu)先級降低，發(fā)送VGMP請求報文；

防火墻B收到對端發(fā)送的VGMP請求報文后，與自己的

VGMP組優(yōu)先級進行比較，發(fā)送VGMP應(yīng)答報文；

防火墻A收到回應(yīng)報文，將VGMP組狀態(tài)切換為Standby

，防火墻A上的VRRP備份組1和備份組2則切

換狀態(tài)為Backup；

防火墻B將VGMP組狀態(tài)切換為Active

，防火墻B上的

VRRP備份組1和備份組2則切換狀態(tài)為Master。由防

火墻B向交換機B和D發(fā)送免費ARP報文。交換機C防火墻ABackup交換機A

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BMasterVRRP備份組1交換機Bl防火墻雙機熱備主備切換

(2)整機故障

防火墻A出現(xiàn)整機故障，不再發(fā)送HRPHello報文，防

火墻B五個報文周期沒有收到對端發(fā)送的HRP

Hello報

文，則防火墻B切換為主設(shè)備，

VGMP狀態(tài)為Active

，

防火墻B上的VRRP備份組1和備份組2則切換狀態(tài)為Master。交換機C防火墻A交換機A!

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BMasterVRRP備份組1交換機Bl防火墻雙機熱備主備切換

(3)l

心跳線故障

心跳線出現(xiàn)故障，防火墻B五個報文周期沒有收到對端

發(fā)送的HRP

Hello報文，則防火墻B切換為主設(shè)備，VGMP狀態(tài)為Active，防火墻B上的VRRP備份組1和備

份組2則切換狀態(tài)為Master

。此時出現(xiàn)雙主現(xiàn)象。交換機C防火墻AMaster交換機A心跳線

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BMasterVRRP備份組1交換機B防火墻雙機熱備主備切回切防火墻A故障恢復(fù)后

，此時VGMP組優(yōu)先級恢復(fù)，在等待60s后

，發(fā)送VGMP請求報文；防火墻B收到VGMP請求報文后

，與自己的VGMP組優(yōu)先級進行比較

，發(fā)現(xiàn)對端的優(yōu)先級較高或相等

（相等時查看VGMP的配置）

，則回應(yīng)VGMP應(yīng)答

報文

，同時將自己的VGMP組狀態(tài)切換為Standby

，

VRRP備份組1和2狀態(tài)切換為Backup；防火墻A收到回應(yīng)報文后

，將自己的VGMP狀態(tài)切換為Active

，VRRP備份組1和2狀態(tài)切換為Master。交換機C防火墻AMaster交換機A

主機A

主機B

內(nèi)網(wǎng)交換機DVRRP備份組2防火墻BBackupVRRP備份組1交換機Blll目錄1.

雙機熱備技術(shù)原理2.雙機熱備基本組網(wǎng)與配置防火墻主備備份雙機熱備配置舉例

(1)l

需求描述：

防火墻A和防火墻B的業(yè)務(wù)接口都工作在三層，上下行

分別連接二層交換機。上行交換機連接運營商的接入

點，運營商為企業(yè)分配的IP地址為

?，F(xiàn)在希望

防火墻A和防火墻B以主備備份方式工作。正常情況下，

流量通過防火墻A轉(zhuǎn)發(fā)；當防火墻A出現(xiàn)故障時，流量

通過防火墻B轉(zhuǎn)發(fā)，保證業(yè)務(wù)不中斷；

VRRP備份組1的虛擬IP

：/24；

VRRP備份組2的虛擬IP

：10.3.0.3/24；

防火墻A心跳接口10GE0/0/7地址：

/24；

防火墻B心跳接口10GE0/0/7地址：

/24。

備份組1

10GE

0/0/1

防火墻B

Backup10GE0/0/3

備份組2

內(nèi)網(wǎng)防火墻AMaster10GE0/0

/710GE0/0/710GE0/0/30/0/110GE防火墻主備備份雙機熱備配置舉例

(2)l

配置思路：

完成基本網(wǎng)絡(luò)配置：包括配置防火墻各接口的IP地址，

將防火墻各接口加入相應(yīng)的安全區(qū)域及缺省路由配置；

配置VRRP備份組：在兩臺防火墻上完成VRRP備份組

配置；

配置安全策略，允許心跳口之間交互HRP報文；

指定心跳接口，配置認證密鑰，并啟用雙機熱備功能；

配置安全策略，允許內(nèi)網(wǎng)用戶訪問Internet；

配置NAT策略，讓內(nèi)網(wǎng)用戶成功訪問Internet。

配置VRRP備份組

指定心跳口并啟用雙機熱備

功能

結(jié)束

開始配置安全策略及NAT策略

基礎(chǔ)網(wǎng)絡(luò)配置

配置安全策略↓!↓↓!↓防火墻主備備份雙機熱備配置舉例

(3)l

在防火墻A上行業(yè)務(wù)接口10GE0/0/1上配置VRRP備份組1，并設(shè)置其狀態(tài)為Active。l

在防火墻B上行業(yè)務(wù)接口10GE0/0/1上配置VRRP備份組1，并設(shè)置其狀態(tài)為Standby。[FWB]interface10ge0/0/1[FWB-10GE0/0/1]

vrrp

vrid

1

virtual-ip

standby[FWB-10GE0/0/1]quit[FWB]interface10ge0/0/3[FWB-10GE0/0/3]

vrrp

vrid

2

virtual-ip

standby[FWB-10GE0/0/3]quit[FWA]interface10ge0/0/1[FWA-10GE0/0/1]

vrrp

vrid

1

virtual-ip

active[FWA-10GE0/0/1]quit[FWA]interface10ge0/0/3[FWA-10GE0/0/3]

vrrp

vrid

2

virtual-ip

active[FWA-10GE0/0/3]quit防火墻主備備份雙機熱備配置舉例

(4)l

在防火墻A指定心跳接口

，配置認證密鑰，并啟用雙機熱備功能。l

在防火墻B指定心跳接口

，配置認證密鑰，并啟用雙機熱備功能。[FWB]hrp

interface10ge0/0/7remote

[FWB]hrp

authe